هل تختبر حلول الـ failover التي تستعملها؟

السلام عليكم ورحمة الله وبركاته

صراحة هذا السؤال ظروري جداً تجاوب عليه إن كنت تستعمل Cluster أو أي من حلول الـ Failover في بيئة عملك … الأسبوع الماضي طلبت من الفريق الذي أعمل معه التقرير الخاص بعملية الـ Failover لبيئة العمل لكي أطلع عليه وأرى آلية وخطوات عمل الـ Failover وكيف ستحدث … ولكن أنصدمت بإنهم لم يقوموا بتجربة ذلك قط !!!

عندها سألتهم من قال عندنا Failover إذن؟ أنا أقول نحن ما عندنا حاجة أصلاً … وهذه الحقيقة من لم يقم بالتجربة إذن لا يوجد لديه شيء إسمه Failover … ولهذا أتفقنا بعمل تجربة … أول تجربة كانت Failover على مستوى الـ VPN Connections والجدران النارية فقط … وكيف ستتعامل باقي الخوادم مع التغييرات التي حصلت … فقمنا بإيقاف عمل الـ Firewall الأول والـ VPN Connection الأول أي الـ Master وقمنا بتحويل كل شيء الى الـ Slave … طبعاً الـ Firewall الثاني بعدما تأكد بإن Firewall1 كان Down خلاص أخذ زمام الأمور وتحول كل الخط اليه وأصبح هو المسؤول عن تمرير الحزم من خارج والى داخل الشبكة … الى الآن جميل جداً …

لكن حين بدأنا بعمل تجارب لنرى هل الخوادم كلها تعمل صح وما الى ذلك ؟ وجدنا بعض المشاكل في إعدادات الـ NAT وبعض المشاكل في إعدادات الـ Routing … حيث وجدنا نقص كبير في الـ Routing Table للـ Firewall الثاني … قمنا بعمل هذه المشاكل وحلها ولله الحمد “تقريباً :) ” … بعد ذلك قمنا بتجربة بعض الخدمات التي عندنا فوجدنا البعض يعمل والبعض الآخر لا … من المشاكل التي وجدناها في أنظمة الويندوز بالتحديد وهي إنها تعمل Cache للـ ARP لفترة تصل الى 10 دقائق حسب ما فهمنا … وهذه العملية كانت تعيق تحول الخادم الى الـ Gateway الجديد والمنافذ والمخارج الجديدة بعد عملية الـ Failover … طبعاً وجدنا بشكل مؤقت أمر معيين يقوم بعملية تنظيف للـ Cache الخاص بالـ ARP وهو:
netsh interface ip delete arpcache

وفعلاً بدأ الخادم بعدها بالعمل مرة اخرى … لكن هناك مشكلة أخرى لم ننتهي منها على ما يبدو بعد !!! الـ VPN Connections كلها تحاول الوصول الى الجدار الناري الأول … والجدار الناري الأول حالياً تم عمل الحالة/state الى Down … ولهذا لم نكن نستطيع الوصول الى بعض الخدمات داخل الشبكة !!! ولهذا يجب ان نقوم بعملية إعادة إعداد مسألة تحول إتصالات الـ VPN الى الجدار الناري الثاني وليس الأول … وغيرها من المشاكل التي ظهرت ولازلنا نعالج فيها …

جميع هذه المشاكل لو إنه حين تم وضع خطة عمل الـ Failover ؟ لما كنا سنصل الى هذه الحالة السيئة … حالياً الـ Failover لا يعمل بشكل 100% صحيح … وهذه سببها عدم التجربة هل فعلاً تعمل أم لا … طبعاً لم يتبقى الكثير على الإنتهاء منها إن شاء الله … لكن أحببت أن أوضح بإن عملية تجربة هذه الخطة Failover Plan مهمة جداً جداً جداً أكثر من ما تتخييل … لا تنتظر حصول مشكلة عندك لعمل التجربة وعندها يكون قد وقع الفاس بالراس كما يقولون !!! لا … قم بتجربة المسألة قبل أن تقوم هي بتجربتك وتقوم هي بوضعك في موقف حرج … كل هذه المشاكل أنت ستتحاسب عليها وستتحملها إن أخفقت فيها …

فقم بعمل إختبار الآن قبل أن تعمل بيئة العمل إختبار فيك وفي قدرتك على إسترجاعها :)

لمن يهمه الأمر: أستعمل في عمل Failover بين الـ Firewalls والـ VPNs مشروع Keepalived

دمتم بود …

About [email protected]

[Between Teams of Red and Blue, I'm with the Purple Team]
This entry was posted in Firewalls, Linux Services, Networks, Security and tagged , , , , , , , , , , , , . Bookmark the permalink.

10 Responses to هل تختبر حلول الـ failover التي تستعملها؟

  1. gnom says:

    بارك الله فيك ياأبو محمد الغالي على طرح هذا الموضوع المهم جداً

    لكن حبذا لو أنك فصلت الموضوع قليلاً لكي نكسب منك بعض الخبرات ، وعن بيئة العمل ، لانه في غموض بالشرح ::idea::

  2. B!n@ry says:

    gnom @ ويبارك بيك أخي الكريم …
    صحيح ربما هناك بعض الغموض فيما يخص بيئة عملي لكنه المفروض واضح بصورة عامة !!! لا أعلم ربما لأنني أتحدث عن نفسي لا ارى الغموض … سأحاول التفصيل في قادم المواعيد أكثر بقليل … شكرا لمرورك ودعواتك الطيبة …

  3. أيمن العوادي says:

    السلام عليكم: موضوع هام جدا بلنسبه لي خصوصا نحن الان بصدد وضع خطه لبناء شبكتنا، تأكد سأضع ما نصحت به في الحسبان ان شاء الله، لكن ماهو الفايرول الذي تستخدمونه؟بلنسبه لنا Cisco .ASA تقبل مروري

  4. ahmed-araby says:

    صديق لي يعمل فى شركة سعودية كبيرة
    المهم , كنت اتصل به وأخبرني ان الشكرة انقلبت رأسا علي عقب وعلمت منه أن أحد الروترات core احترقت
    المشكله كانت أن هناك مشكله فى كهرباء الروتر وتم عمل حل مؤقت للمشكلة ولكن الحل المؤقت اسستمر تقريبا العام ولكن حينما جاء اللحظة ::19
    الأمر ليس هين على الاطلاق حينما نهمل فى بعض الاشياء

  5. B!n@ry says:

    أيمن العوادي @ وعليكم السلام ورحمة الله وبركاته
    هلا اخوية ايمن شلونك وشخبارك عساك طيب؟ جميل بإنك ستنتبه لهذه المسألة التي ذكرتها وإن شاء الله الامور تسير معاك تمام التمام …
    الجداران النارية التي نستعملها خليط لكن اكثرها هي iptables ::bgrim::
    نورت الزون أيمن …

  6. فــادي says:

    السلام عليكم

    جدا رائع استاذي B!n@ry على الموضوع المتميز بحق

    والله يوفقك ويعطيك ربي الف الف عافيه

    اخوك

    متابعك بصمت

  7. فــادي says:

    السلام عليكم

    جدا رائع استاذي B!n@ry على الموضوع المتميز بحق

    والله يوفقك ويعطيك ربي الف الف عافيه

    اخوك

    متابعك بصمت

    فادي

  8. B!n@ry says:

    ahmed-araby @ أهلا أخي أحمد …
    هذه الحادثة التي ذكرتها تناسب جداً الموضوع … فعلاً الحلول المؤقتة ستكون كالقنبلة الموقوتة في أي لحظة تنفجر عليك !!! أشكرك جزيل الشكر على المرور والإضافة … نورت الزون …

  9. B!n@ry says:

    فــادي @ وعليكم السلام ورحمة الله وبركاته
    الله يعافيك ويخليك يارب … تسلم يا طيب على المرور وكلماتك الطيبة … وعسى الله يوفقنا جميعاً لكل ما يحبه ويرضاه … نورت الزون …

  10. wedo_ksa says:

    جزيت خيرا

    بالتاكيد راح اضع كنوزك بالحسبان عند بناء شبكه

    لاكن لسا المشوار امامي طويلا لاكون مسول سيرفرات يعتمد عليه

    لاكن مع كنوزك راح تقووي معرفتي الكثير

    سوال على الهامش
    failover : هل هو نوع من البرمجيات المسووله عن توثيق سجلات الخطا بالخدمات حسب مارايت او فهمت انا ولي سوال للعم قووقل للزياده ان شااء الله

Comments are closed.